КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Жизненный цикл компьютерных вирусов
|
|
|
|
Различают два основных действия (фазы), выполняемых компьютерным вирусом: размножение и проявление. Размножение обычно является первым и обязательным действием вируса при получении им управления.
Фаза проявления, на которой выполняются несанкционированные действия, может чередоваться с размножением, начинаться через определенный период или при сочетании некоторых условий. Она может заключаться в изощренных визуальных или звуковых эффектах. Вирусы-вандалы на фазе проявления наносят повреждения файловой системе, вносят ошибки в данные или нарушают работу ПК.
Кроме того, возможна латентная фаза, когда нет размножения и проявления. Это может быть обусловлено:
1) системным временем (пятница, 13-е);
2) конфигурацией (должен быть винчестер);
3) аппаратными особенностями (только на клонах IBM PC).
В качестве первичного носителя вируса, как правило, выступает дискета с игровыми программами или новыми популярными программами.
Жизненный цикл вируса-червя следующий. Вирусный загрузчик (обычно отождествляемый с shell-кодом, хотя это не всегда так) решает три основные задачи:
- он адаптирует свое тело (и при необходимости основное тело червя) к анатомическим особенностям организма жертвы, определяя адреса необходимых ему системных вызовов, свой собственный адрес размещения в памяти, текущий уровень привилегий и т. д.;
- загрузчик устанавливает один или несколько каналов связи с внешним миром, необходимых для транспортировки основного тела червя. Чаще всего для этого используется TCP/IP-соединение, однако червь может воспользоваться услугами FTP- и/или РОРЗ/ SMTP-протоколов, что особенно актуально для червей, пытающихся проникнуть в локальные сети, со всех сторон огороженные сплошной стеной Firewall;
|
|
|
- загрузчик забрасывает хвост вируса на зараженный компьютер, передавая ему бразды правления. Для сокрытия факта своего присутствия загрузчик может восстановить разрушенные структуры данных, удерживая систему от падения, а может поручить это основному телу червя. Выполнив свою миссию, загрузчик обычно погибает, поскольку включить в тело вируса копию загрузчика с инженерной точки зрения намного проще, чем собирать вирус по частям.
Укрепившись в системе, червь переходит к самой главной фазе своей жизнедеятельности - фазе размножения. При наличии полиморфного генератора вирус создает совершенно видоизмененную копию своего тела, ну или, на худой конец, просто зашифровывает критические сегменты своего тела. Существует несколько независимых стратегий распространения, среди которых в первую очередь следует выделить импорт данных из адресной книги Outlook Express или аналогичного почтового клиента, просмотр локальных файлов жертвы на предмет поиска сетевых адресов, сканирование IP-адресов текущей подсети и генерация случайного IP-адреса.
Установив соединение с предполагаемой жертвой, червь должен убедиться в наличии необходимой ему версии программного обеспечения и проверить, нет ли на этой системе другого червя. В простейшем случае идентификация осуществляется через рукопожатие. Жертве посылается определенное ключевое слово, внешне выглядящее как безобидный сетевой запрос. Червь, если он только там есть, перехватывает пакет, возвращая инициатору обмена другое ключевое слово, отличное от стандартного ответа незараженного сервера. Поэтому, механизм рукопожатия - это слабейшее звено обороны червя, конечно, при условии, что червь безоговорочно доверяет своему удаленному собрату.
|
|
|
|
Дата добавления: 2014-01-03; Просмотров: 537; Нарушение авторских прав?; Мы поможем в написании вашей работы!